Qu'est-ce que l'analyse du comportement des utilisateurs et des entités ?
L'analyse du comportement des utilisateurs et des entités (UEBA) est une approche algorithmique de la surveillance des réseaux qui se concentre sur les activités des acteurs humains et des entités telles que les hôtes, les plates-formes logicielles et les points d'extrémité. Grâce à l'apprentissage automatique, les solutions UEBA établissent une base de référence pour ce qui constitue un comportement "normal" sur un réseau. Elles utilisent ensuite cette base pour identifier les acteurs potentiels de la menace et les systèmes compromis.
Les acteurs de la menace s'appuient rarement sur un seul compte compromis lorsqu'ils lancent une attaque. Leurs tactiques sont souvent conçues pour tromper la sécurité qui se concentre sur des règles statiques. Les menaces internes sont particulièrement difficiles à détecter avec une solution existante, car leur comportement peut simplement ressembler à celui d'une personne qui fait son travail.
Enfin, les solutions de sécurité basées sur des règles sont mal adaptées à l'écosystème dynamique et sans périmètre dans lequel la plupart d'entre nous évoluent aujourd'hui.
L'UEBA a évolué pour répondre à ces défis. En mettant l'accent sur le comportement en temps réel plutôt que sur des indicateurs prédéfinis, il permet aux entreprises de détecter les menaces éventuelles plus rapidement et avec plus de précision. Avec la protection des points finaux et la détection et la réponse étendues, l'UEBA est un composant important de l'accès réseau de confiance zéro, fournissant le soutien nécessaire à des processus tels que l'authentification continue.
Avantages de l'UEBA
Les avantages de l'adoption de l'UEBA sont les suivants
- Réduction de la charge de travail des équipes chargées de la sécurité
- Réduction de la fatigue liée à l'alerte
- Réduction des frais généraux
- Meilleure protection contre les menaces internes
- Gestion/surveillance des actifs cloud et IoT
L'UEBA ne s'appuie pas sur des règles ou des signatures statiques, ce qui lui permet de mieux se protéger contre les menaces du jour zéro et les modèles d'attaque inconnus. Cela facilite aussi considérablement la vie des équipes de sécurité. Au lieu de passer du temps à configurer minutieusement des règles pour tous les scénarios possibles, elles peuvent se concentrer sur l'atténuation et la réponse.
L'UEBA étant basé sur l'apprentissage automatique, les solutions deviennent progressivement plus précises pour identifier si une action est normale ou suspecte. Il en résulte moins de faux positifs et un volume global de notifications plus faible. En outre, les acteurs de la menace interne sont beaucoup plus facilement détectés grâce à l'analyse comportementale, ce qui signifie que l'UEBA offre également une meilleure protection contre les initiés malveillants et la négligence.
Avantages supplémentaires de l'UEBA
- Politiques de sécurité adaptatives et dynamiques
- Détection plus rapide des menaces avancées
- Précision accrue de la détection
- Un meilleur contrôle de la politique de sécurité
- Une meilleure sécurité pour les contractants et le personnel à distance
- Détection des attaques non basées sur des logiciels malveillants
Comment fonctionne l'UEBA
L'UEBA s'appuie sur des bases de référence. L'idée de base est que même si un acteur de la menace parvient à compromettre le compte d'une personne, il ne peut pas imiter le comportement de cette personne - ses actions s'écarteront de ce qui est "normal". De même, si un initié commence soudainement à se comporter de manière anormale, un outil d'UEBA peut signaler cette activité pour qu'elle fasse l'objet d'une enquête.
L'UEBA ne se concentre toutefois pas uniquement sur les utilisateurs. Elle analyse également le comportement des entités non humaines sur le réseau, telles que les terminaux et les plates-formes logicielles. Certaines solutions UEBA étendent leur champ d'action aux événements.
Quel que soit son champ d'application, une solution UEBA analyse une multitude de sources de données pour établir ses bases :
- Renseignements sur les menaces
- Systèmes de détection et de prévention des intrusions (IDPS)
- Flux de surveillance du réseau
- Journaux du système
- Activité VPN
- Systèmes EDR ou XDR
- Bases de données
- Systèmes d'authentification
- Dossiers des employés
Les données pertinentes tirées de ce qui précède sont les suivantes :
- Lieu d'accès
- Heure de la journée
- Fréquence d'accès
- Fichiers ou serveurs typiques
- Applications ou services typiques
- Rôles, privilèges et autorisations
- Type d'appareil
Une fois que ces informations ont été entièrement assimilées et mises en contexte, l'UEBA définit un score de risque pour chaque utilisateur et chaque entité. Chaque fois qu'une activité s'écarte de la ligne de base, le score augmente. Enfin, lorsque ce score atteint un seuil prédéfini, l'utilisateur ou l'entité est porté à l'attention de l'équipe de sécurité.
Certaines solutions UEBA avancées peuvent même orchestrer et agréger des données provenant de plusieurs systèmes afin de construire une chronologie d'un incident de sécurité ou d'un événement perturbateur. Ce processus est connu sous le nom de "session stitching".
Les "trois piliers" de l'UEBA
Cas d'utilisation
Sources de données
Analyse
Bonnes pratiques pour la mise en œuvre de l'UEBA
Les étapes suivantes sont cruciales pour établir une base de référence efficace et mettre en œuvre avec succès l'UEBA dans votre posture de cybersécurité:
- Comprendre le profil de risque de votre organisation.
- Déterminez comment vous comptez utiliser l'UEBA - quels sont les cas d'utilisation auxquels ce déploiement répondra ?
- Identifiez les sources de données que votre solution UEBA utilisera.
- Définissez les comportements pertinents pour vos cas d'utilisation.
- Déterminer qui recevra les notifications de l'UEBA et quand.
- Rendre compte des utilisateurs et des entités internes et externes.
- Veillez à ce que vos processus et politiques soient en phase avec l'adoption de l'UEBA.
- Testez régulièrement et complètement votre solution UEBA.
Cas d'utilisation de l'UEBA
Détection des menaces d'initiés malveillants
Se défendre contre les menaces persistantes avancées
Les menaces persistantes avancées et les menaces inconnues sont incroyablement difficiles à détecter et à atténuer. Elles suivent souvent une chaîne d'exécution complexe, avec des tactiques ou des comportements qui n'ont pas encore été identifiés comme dangereux. L'UEBA facilite grandement l'identification d'un utilisateur, d'un compte ou d'un appareil de confiance compromis, car il se comportera inévitablement d'une manière qui ne correspond pas à sa ligne de base.
Il peut également servir à détecter les cas où une personne disposant d'un accès privilégié est négligente avec des biens sensibles.
Prévenir l'exfiltration des données
Gestion et hiérarchisation des alertes et des incidents
UEBA vs. SIEM
Compte tenu de la similitude de leur objectif, on pourrait être tenté de considérer que la gestion des incidents et des événements de sécurité (SIEM) s'exclut mutuellement de l'UEBA. Ce n'est pas le cas. Bien que les cas d'utilisation puissent se chevaucher, les solutions d'UEBA et de SIEM ont des objectifs différents.
Et ils fonctionnent très bien en tandem.
C'est peut-être la raison pour laquelle Gartner considère l'UEBA comme une extension du SIEM, plutôt que comme une technologie distincte. Il n'est pas difficile de comprendre pourquoi. Les deux se complètent très bien, la solution SIEM servant de source précieuse de données pour l'outil UEBA et l'outil UEBA offrant une détection et une analyse plus sophistiquées des menaces.
FAQ
Que signifie UEBA ?
UEBA signifie User and Entity Behavior Analytics (analyse du comportement des utilisateurs et des entités).
Qu'est-ce que la sécurité de l'UEBA ?
Les solutions UEBA renforcent les pratiques et les processus de cybersécurité existants grâce à un apprentissage automatique sophistiqué. Associées à ZTNA, XDR et EPP, elles constituent une approche plus moderne et plus complète de la sécurité et de la continuité des activités.
Qu'est-ce qu'un outil UEBA ?
Un outil UEBA est un logiciel ou une plateforme intégrant une fonctionnalité UEBA. Il peut s'agir d'un outil pur (entièrement dédié à l'UEBA) ou d'un outil intégré (l'UEBA fait partie des fonctionnalités générales).
Qu'est-ce qu'une "entité" ?
Dans le contexte de l'UEBA, une entité est un élément non humain capable d'agir - soit de manière autonome, soit sous la direction d'un acteur humain - sur un réseau. Il s'agit notamment, mais pas exclusivement, des éléments suivants
- Points finaux
- Logiciels et applications
- Appareils mobiles
- Autres réseaux ou organisations
- les systèmes informatiques tels que le matériel de réseau
- Menaces non humaines (ransomware, logiciels malveillants)
- Autres entreprises
Quelle est la différence entre l'UEBA et l'UBA ?
L'UBA (User Behavior Analytics) se concentre uniquement sur les acteurs humains. L'UEBA, en revanche, analyse le comportement des appareils et des machines d'un réseau en plus de celui des utilisateurs. L'UEBA met également davantage l'accent sur les menaces externes que l'UBA.
Ceci mis à part, les deux sont presque identiques.
Quels sont les trois piliers de l'UEBA ?
Les trois piliers de l'UEBA, tels que définis par Gartner, sont les fonctions essentielles qu'une solution ou un cadre d'UEBA doit adopter pour être efficace. Il s'agit des trois piliers suivants
- Cas d'utilisation. L'UEBA doit définir et traiter plusieurs cas d'utilisation distincts
- Données. Une solution UEBA doit être capable d'ingérer des données à partir de multiples sources de données prédéfinies telles que les lacs de données, les référentiels de données ou via un SIEM sans agents d'instrumentation dédiés.
- L'analyse. L'UEBA nécessite une approche relativement complexe de la cybersécurité algorithmique, qui s'appuie sur de multiples techniques de modélisation des menaces et d'apprentissage automatique, telles que les modèles statistiques, la surveillance basée sur des règles, l'analyse comportementale et la détection des signatures de menaces.
Quelle est la différence entre UEBA et SIEM ?
Les outils de gestion des informations et des événements de sécurité (SIEM) regroupent et contextualisent les données d'événements système pour permettre une gestion en temps réel plus efficace des menaces actives. L'UEBA se concentre davantage sur le comportement que sur les événements, ce qui lui permet de détecter des attaques plus sophistiquées qu'un SIEM pourrait négliger. Il est important de noter que l'UEBA et le SIEM ne s'excluent pas mutuellement -artner considère en fait l'UEBA comme une fonctionnalité des plateformes SIEM modernes.
Pourquoi l'UEBA est-elle importante ?
Les environnements opérationnels des entreprises sont de plus en plus complexes et dynamiques - configurer des systèmes de sécurité basés sur des règles pour adhérer à un tel écosystème est au mieux intenable. Plus important encore, les acteurs des menaces modernes sont intelligents. Leurs tactiques sont souvent conçues pour confondre les solutions de sécurité traditionnelles axées sur la prévention.
L'UEBA joue également un rôle important dans l'accès au réseau de confiance zéro (ZTNA) et aide les entreprises à réduire les faux positifs et les alertes inutiles.
Les effectifs sont devenus plus dynamiques et plus adaptables que jamais. Nous ne vivons plus dans un monde où les organisations peuvent s'appuyer sur des solutions de sécurité statiques et basées sur des règles - elles ont besoin d'outils plus agiles, dynamiques et adaptables.
BlackBerry peut vous aider. Dans le cadre de BlackBerry Spark® Suites-notresolution complète-CylanceGUARD™ combine l'apprentissage automatique et l'intelligence artificielle prédictive avancée pour définir et ajuster dynamiquement la politique de sécurité en fonction de la façon dont les utilisateurs travaillent et de l'endroit où ils travaillent. Grâce à CylancePERSONA, vous pouvez donner à vos employés les moyens de travailler comme ils l'entendent et où ils l'entendent, tout en assurant la sécurité de vos actifs les plus sensibles et les plus importants.